[English]Besitzer von QNAP NAS-Laufwerken sind durch die kritische Schwachstelle CVE-2024-21899 gefährdet. Diese ermöglicht den Zugriff auf Geräte, ohne dass eine Authentifizierung mittels Benutzername und Kennwort erforderlich ist. Der Hersteller hat Sicherheitsupdates seiner angreifbaren Betriebssysteme freigegeben, um die Schwachstelle zu schließen.
Anzeige
Ich bin über einen Tweet mit dem Inhalt "CVE-2024-21899 (CVSS 9.8): Critical QNAP Flaw Opens Door to Hackers This bug means attackers can slither into your NAS without needing a username or password." auf das Problem aufmerksam geworden. Es seien mehr als 3 Millionen Geräte gefunden worden, die die Schwachstelle aufweisen und per Internet erreichbar sind, hieß es im Tweet. Die Kollegen von Bleeping Computer haben diesen Artikel dazu veröffentlicht. QNAP hat zum 9. März 2024 den Sicherheitshinweis qsa-24-09: Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, and myQNAPcloud veröffentlicht. In den nachfolgend aufgeführten Produkten:
QTS 5.1.x, 4.5.x; QuTS hero h5.1.x, h4.5.x; QuTScloud c5.x; myQNAPcloud 1.0.x
gibt es die kritischen Schwachstellen:
- CVE-2024-21899: Die Sicherheitslücke könnte es Benutzern bei der Authentifizierung ermöglichen, die Sicherheit des Systems über ein Netzwerk zu gefährden.
- CVE-2024-21900: Die Injektionsschwachstelle ermöglicht es authentifizierten Benutzern, Befehle über ein Netzwerk auszuführen.
- CVE-2024-21901: Die SQL-Injektionsschwachstelle könnte es authentifizierten Administratoren ermöglichen, über ein Netzwerk bösartigen Code einzuschleusen.
Die Schwachstellen sind in den nachfolgend genannten Software-Versionen behoben:
- QTS 5.1.x: QTS 5.1.3.2578 build 20231110 and later
- QTS 4.5.x: QTS 4.5.4.2627 build 20231225 and later
- QuTS hero h5.1.x: QuTS hero h5.1.3.2578 build 20231110 and later
- QuTS hero h4.5.x: QuTS hero h4.5.4.2626 build 20231225 and later
- QuTScloud c5.x: QuTScloud c5.1.5.2651 and later
- myQNAPcloud 1.0.x: myQNAPcloud 1.0.52 (2023/11/24) and later
Besitzer entsprechender QNAP-Produkte sollten die genannten Software-Versionen umgehend installieren., um die kritischen Schwachstellen zu beseitigen.
Anzeige
Anzeige
Harter Tobak die Schwachstelle, vor allem wenn 3 Millionen Geräte im Internet erreichbar sein sollen.
Warum bekommt die Schwachstelle keine 10,0?
Nein, kein harter Tobak. Wie man an den Dateinamen sieht, sind die gefixten Firmware-Versionen bereits Ende 2023 erschienen. Wie man beispielsweise zu QTS 5.1 hier sieht:
https://www.qnap.com/de-de/release-notes/qts/overview/5.1.0
sind seitdem drei weitere Firmware-Versionen erschienen.
Wer also nicht innerhalb drei Monate sein QNAP aktualisiert und damit vier Firmware-Versionen überspringt, der soll sich grundsätzlich überlegen, ein QNAP zu betreiben.
Es geht gar nicht darum, wie lange jemand zur Aktualisierung benötigt, es geht alleine um den Fakt, dass die Schwachstelle so gravierend ist, also definitiv harter Tobak.
Warum ist automatischer Firmwareupdate jede Nacht nicht default? Wie man an den Timestamps der Firmwares sieht ist das schon eher länger gefixed….unbezahlbar auch der Schreckmoment wenn man mal länger arbeitet/spielt/whatever und das NAS mitten in der Nacht wegen Reboot piepst :)
Das wäre bei mir problematisch. Auf dem QNAP läuft eine VM mit pihole. Die IP-Adresse dieser VM gibt die Fritz!Box als DNS-Server raus. Es gibt zwar einen zweiten pihole auf einem RaspberryPi, aber die Fritz!Box kann keinen sekundären DNS-Server per DHCP verteilen.
Die Festplatten der QNAP sind vollständig verschlüsselt. Nach einem Reboot müssen die Festplatten händisch entsperrt werden, sonst klappt weder der Datenzugriff, noch startet eine VM.
Würde also einfach so ein Update eingespielt, so wäre das bei mir mit einem vollständigen DNS-Ausfall verbunden. Ich möchte somit nicht, dass Updates automatisch eingespielt werden. Ich mache das lieber zeitnah nach dem Erscheinen selber.
'Standard' heißt ja nicht: Nicht abschaltbar.
'Standard' heißt, wenn du nichts tust, ist es aktiv.
Das halte ich definitiv auch für sinnvoll. Auf der anderen Seite erhöht das natürlich die Gefahr für supply-chain Angriffe deutlich.
Die hätte ich mal eher für theoretischer Natur gehalten. Seit 2 – 3 Jahren halte ich das für ein ernsthaftes Problem, gerade bei den inkompetenten NAS-Herstellern mit Bugs, die seit 20 Jahren nicht mehr existieren sollten.
Du bist auch definitiv nicht im Kreis der Leute die so eine Defaulteinstellung benötigen würden :)
Über das Benachrichtigungszentrum lässt sich einstellen, dass man automatisch eine E-Mail erhält, wenn eine neue QNAP-Firmware erschienen ist.
Ich warte dann noch einige Tage ab, da es schon mal vorkommt, dass im QNAP-Forum über Probleme mit der neuen Version berichtet wird. Gibt es keine Berichte über Probleme, oder betreffen die geschilderten Probleme nicht mein Modell oder nicht die bei mir installierten Apps, aktualisiere ich die Firmware manuell.
So bin ich immer auf der (relativ) sicheren Seite.
ist doch ein alter Schuh ? Bereits Ende 2023 geschlossen. Wer 4 Monate wartet, hmm…
Des weiteren sollte man keine QNAP direkt ins Internet rooten.